雷程
- 作品数:23 被引量:105H指数:6
- 供职机构:中国科学院信息工程研究所更多>>
- 发文基金:国家高技术研究发展计划郑州市科技领军人才培育计划国家重点基础研究发展计划更多>>
- 相关领域:自动化与计算机技术电子电信更多>>
- 基于网络攻击面自适应转换的移动目标防御技术被引量:13
- 2018年
- 移动目标防御是一种改变网络空间攻防对抗格局的革命性技术,它通过动态改变攻击面使得目标网络更具弹性.网络跳变作为有效抵御主动扫描的防御方法,是实现移动目标防御的关键技术之一.现有跳变机制由于在空间上采用随机选取方法并在时域采用固定跳变周期,极大降低了跳变防御的不可预测性和时效性;与此同时,由于跳变实施过程缺乏约束且跳变部署复杂度高,因此增加了网络开销,降低了跳变防御的可用性和可扩展性.针对以上问题,文中提出了一种基于网络攻击面自适应转换的移动目标防御技术.为了实现网络跳变收益的最大化,在分层跳变的架构上设计了一种网络自适应跳变算法.它由网络威胁感知和跳变策略生成两部分组成.通过设计基于Sibson熵的威胁感知机制分析扫描攻击策略,以指导网络跳变机制的选择;基于网络攻击面和网络探测面定义了网络视图和视图距离,通过设计基于视图距离的跳变策略生成算法,选取使得视图距离最大的跳变端信息集合,以最大化跳变的不可预测性;此外,通过采用跳变周期自拉伸策略保证跳变的时效性.从而通过基于视图距离的跳变策略选取与可变的跳变周期制定实现网络攻击面时空二维的自适应转换,最大化防御收益.为了解决网络资源有限条件下的跳变实施问题,利用可满足性模理论形式化描述跳变实施的约束条件,以保证跳变实施的可用性;通过设计启发式跳变实施部署算法以提高部署效率,以保证跳变防御的可扩展性.最后,理论与实验分析了该技术抵御扫描攻击的能力和跳变成本,通过以不同类型的扫描攻击为例证明了该技术在保证网络服务质量的同时可有效抵御92.1%以上的主动扫描攻击.
- 雷程马多贺马多贺张红旗王利明
- 关键词:网络欺骗
- 基于流指纹的流安全交换关键技术研究
- 随着大数据时代的来临,流交换正在逐步成为数据交换发展的新趋势。它具有数据量宏大、内容不可预测和低时延的特性。然而,随着流交换应用的与日俱增,流交换的安全问题日益凸显。究其根源,在于流交换中流身份不可知不可信以及它导致的流...
- 雷程
- 基于最优路径跳变的网络移动目标防御技术被引量:10
- 2017年
- 移动目标防御(MTD,moving target defense)是一种改变网络攻防对抗格局的技术,路径跳变则是该领域的研究热点之一。针对现有路径跳变技术,由于路径选取存在盲目性,跳变实施缺乏约束性,难以在保证网络性能的同时最大化防御收益等问题,提出基于最优路径跳变的网络移动目标防御技术。通过可满足性模理论形式化规约路径跳变所需满足的约束,以防止路径跳变引起的瞬态问题;通过基于安全容量矩阵的最优路径跳变生成方法选取最优跳变路径和跳变周期组合,以实现防御收益的最大化。理论与实验分析了该技术抵御被动监听攻击的成本和收益,证明其在保证网络性能的同时实现了跳变收益的最大化。
- 雷程马多贺张红旗韩琦杨英杰
- 关键词:瞬态问题
- 一种基于双正交载体的网络水印标记方法及系统
- 本发明提供一种基于双正交载体的网络水印标记方法,步骤包括:捕获网络数据流,从中提取基本信息和特征信息,该基本信息为<源IP地址、目的IP地址、源端口号、目的端口号、协议号>的五元组流信息,该特征信息包括时间间...
- 王利明雷程杨倩马多贺
- 文献传递
- 一种基于MapReduce的OpenFlow网络属性并行验证算法被引量:1
- 2016年
- 针对OpenFlow网络中流表配置错误引起的转发回路、路由黑洞和访问控制规则失效等问题,提出一种并行的基于MapReduce的OpenFlow网络属性验证算法。通过在map阶段划分规则等价类,在reduce阶段为规则等价类构建基于交换机端口谓词的网络转发图并分析可达性,实现对网络属性的并行验证。同时,通过采用原子谓词将传统可达性分析中的规则匹配域多维集合运算转换为整数集合运算,以进一步提高可达性分析效率;此外,基于原子谓词的谓词表达方式可消除交换机端口谓词集合中的冗余项,降低存储开销。最后,通过理论分析和仿真实验验证了算法的正确性及在时间和存储开销方面的优越性。
- 刘艺雷程张红旗杨英杰代向东
- 关键词:MAPREDUCE
- 流身份鉴别技术研究进展被引量:1
- 2013年
- 由于流交换中流源身份的不可信、流交换范围的不可控和流路径的不可追踪问题与日俱增,流身份鉴别技术逐渐成为近年来网络安全研究的热点。为了更深入地解决流身份鉴别技术存在的不足,采用文献分析方法论证了必要性,简述了其应用领域,介绍了相关概念和基本框架;概括了流身份鉴别技术面临的关键问题——流变换,并且多维度地将现有方案进行分类,从多个角度进行对比分析。最后归纳了该领域当前的热点和发展前景,以期为下一步研究提供参考。
- 雷程张红旗孙奕杜学绘
- 关键词:匿名通信跳板
- 一种面向多租户云计算的容器安全监控方法及系统
- 本发明提供一种面向多租户云计算的容器安全监控方法及系统。该方法包括:1)云计算管理平台为租户分配虚拟机,并在虚拟机中部署监控程序;2)在虚拟机上为租户建立容器集群,并运行容器集群中的容器;3)通过监控程序获取容器运行过程...
- 王利明孔同欧悯洁雷程马多贺王淼
- 面向OpenFlow网络的访问控制规则自动实施方案被引量:3
- 2015年
- 针对OpenFlow网络数据平面频繁改变导致网络难以实时满足访问控制策略要求的问题,提出了面向OpenFlow网络的访问控制规则自动实施方案。首先,由实时构建的转发路径获得可达空间,并通过规则集动态合成算法消除访问控制规则间的冲突;之后,采用规则空间分割算法将合成后访问控制规则的拒绝空间与可达空间比较,以检测直接和间接违反访问控制规则的非法转发路径;在此基础上,结合网络更新事件与违反检测结果灵活采取自动的违反解决方法,包括规则更新拒绝、规则序列移除、基于线性规划(LP)的近源端规则部署和末端规则部署4种;最后转换访问控制规则形式。理论分析和仿真结果表明,方案可用于控制器上运行多个安全应用程序和交换机内存受限的情况,并且基于LP的近源端规则部署方法可以降低网络中的不期望流量。
- 刘艺张红旗代向东雷程
- 关键词:线性规划
- 基于网络安全态势感知的主动防御技术研究被引量:45
- 2018年
- 网络主动防御作为突破传统被动防御瓶颈的关键技术正成为网络信息安全领域的研究热点。针对网络主动防御缺乏防御针对性的问题,提出了基于网络安全态势感知的主动防御技术。首先,设计了基于扫描流量熵的网络安全态势感知方法,通过判别恶意敌手的扫描策略指导主动防御策略的选取,以增强防御的针对性。在此基础上,提出了基于端信息转换的主动防御机制,通过转换网络端信息实现网络拓扑结构的动态随机改变,从而达到增加网络攻击难度和成本的目的。理论与实验验证了该技术可有效针对不同类型的扫描策略实施高效的主动防御。
- 刘世文马多耀雷程尹少东张红旗
- 关键词:网络安全态势感知主动防御
- 面向链路洪泛攻击的多维检测与动态防御方法
- 2019年
- 针对现有链路洪泛攻击检测存在的不足,提出了多维指标检测算法,通过会话连接时长、数据分组低速比例、数据分组距离均匀性、平均低速率数据分组占比、低速数据分组占比变化率5维要素对存在异常的转发链路进行多维检测,改善了现有方法误报率高的情况。进一步,提出基于染色理论的“控制器.交换机”动态部署方法,解决了现有防御缓解机制存在的“难以实际部署在交换机变体类型受限的实际环境中”问题。最后,实验验证所提方法的有效性。
- 王洋汤光明雷程韩冬
